时间:2022-06-15 07:06:30
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇rip协议,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
随着计算机网络规模的不断扩大,路由技术在网络技术中已逐渐成为关键部分,路由器也成为最重要的网络设备。
rip协议的全称是路由信息协议(Routing Information Protocol),是Internet中常用的路由协议。它是第一个为所有主要厂商支持的标准IP选路协议,目前已成为路由器、主机路由信息传递的标准之一。
RIPv1作为距离矢量路由协议,具有与D-V算法有关的所有限制,如慢收敛和易于产生路由环路和广播更新占用带宽过多等;RIPv1作为一个有类别路由协议,更新消息中是不携带子网掩码的,这意味着它在主网边界上自动聚合,不支持VLSM和CIDR;同样,RIPv1作为一个古老协议,不提供认证功能,这都会产生潜在的危险性。简单性是RIPv1广泛使用的原因之一,但简单性带来的一些问题也是RIP故障中常见的。
2RIP配置的常见问题
2.1配置的两台路由器间不能用RIP互通
如果配置的两台路由器间不能用RIP互通,在物理连接没有问题的时候,就要考虑是否是下面的原因:
(1)路由器之间不通
可能RIP没有启动, 也可能相应的网段没有使用RIP。
这里需要注意的是在使用network命令时,要按地址类别配置相应的网段。例如接口地址168.10.1.1,由于168.10.1.1是B类地址,如果设置“network 168.0.0.0”,报文将不会被对方接受,此时配置成“network 168.10.0.0” 就可以正确接收了。
(2)接口上把RIP给关掉了
查看一下配置信息,看接口上是不是设置了undo rip work 或undo rip input或undo rip output命令。
(3)子网掩码不匹配
在RIPv1协议中,主网中的每一路由器和主机都应有相同的子网掩码。如果子网掩码长度不匹配,信息包就不能正确路由。
2.2 H3C系列路由器与其他厂商路由器之间不通
(1)请先照2.1(1)进行相应检查。
(2)版本设置不同,H3C系列路由器缺省情况下,RIP可以接收RIPv1和RIPv2广播报文,但是只能发送RIPv1报文。如果H3C系列路由器之间互通时,一个配置为RIPv1,一个配置为RIPv2,是可以正确地收发报文的;但是如果H3C系列和其他厂商路由器互通时,H3C系列路由器配置了RIPv2,而其他厂商路由器还是RIPv1,就会有可能出现问题。
2.3 RIPv1与RIPv2的区别引起的问题
(1)配了验证,却没有起作用
由于RIPv1不支持验证,如果在启动RIP后就配验证,实际并不起作用的,只有在两端的接口上配了RIPv2 后验证才能生效。
(2)自动聚合引起的问题
RIPv1永远使用聚合,且RIP的聚合是按照类进行的,RIPv2 缺省也使用聚合,但是可以在协议视图下取消。取消自动聚合只对RIPv2接口有效,自动聚合是为了减少网络中路由量,如果没有特殊原因,一般不要取消。
3 RIP性能常见问题
3.1仅以hop作为metric的问题
RIP仅仅是以跳数作为选择路由的度量值,完全不考虑不同路径带宽的影响。在某些情况下,我们会发现报文到达目的地所经过的路由并非最佳路由。例如:从源到目的的报文可能从hop为1的ISDN链路转发,而不走带宽高达10Mbps的两个局域网链路,仅仅是因为其hop值为2,此时的解决办法就是重新设计网络或使用其他具有更大灵活性的路由协议,如:OSPF等。
3.2广播更新问题
RIP缺省设置是每隔30秒进行广播交换整个路由表信息,这将大量消耗网络带宽,尤其是在广域网环境中,可能出现严重性能问题。所以在广域网中,可以将广播报文的发送间隔调整大一些,以减少网络上部比较的开销。
当由于RIP广播而产生网络性能问题时,可以考虑使用“peer”命令配置RIP报文的定点传送。定点传送可用于在非广播网络支持RIP。
4 RIP故障处理的一般步骤
在网络上测定IP连通性的最常用方法是Ping命令。从源点向目的端发送Ping命令成功的话,意味着所有物理层、数据链路层、网络层功能均正常运转。而当IP连通失败,首先要检查的是源到目标间所有物理连接是否正常、所有接口和线路协议是否运行。当物理层和数据链路层检查无误后,我们将排错重点转向网络层,一般故障处理的步骤如下:
(1)检查从源到目的间的所有路由设备的路由表,看是否丢失路由表项。
例如:从源设备Ping目标设备161.7.9.10 没有响应,我们应当使用display ip routing-table命令依次检查从源到目的间所有路由表项为161.7.x.x (x.x根据使用的RIP版本不同可能会有所不同)的项。
(2)当发生路由表项丢失或其他问题,检查网络设备的RIP基本配置。
①使用display rip 命令察看RIP的各种参数设置。看RIP是否已经启动,相关的接口是否已经使用,network命令设置的网段是否正确;
②用debugging rip 系列命令查看RIP的调试信息。每隔30秒钟,在所指定运行RIP的接口上,路由器将报告RIP路由更新报文的传输,debuging信息显示了发送每个路由更新报文的路由和度量值。通过debugging信息可以清楚地看出RIP报文是否被正确地收发;如果发送或接收有问题,也可以由debugging信息中看到是什么原因而导致发送或接收报文失败。
(3)当RIP基本配置没有问题时,请检查如下项目:
考虑是否在接口上配置undo rip work命令,是否验证有问题,是否引入其他路由有问题,是否访问控制列表配置不正确等等。
使用display current-configuration命令,查看接口的信息和RIP的相关配置。
①可以看到RIP在接口模式下的配置信息是否正确。如该接口是否收发RIP报文,接口配置验证是什么类型的,接口向外发送的报文是RIPv1还是RIPv2,是广播发送还是多播发送,接口在接收和发送路由时是否增加附加的路由权。
②可以看到RIP在协议模式下的配置信息是否正确。如是否引入其他协议的路由,如果引入,是以多大的路由权值引入的;是否对路由进行过滤和按什么规则过滤等。
关键词:中小企业网;路由协议;网络规划;邻居关系;路由重分发
DOIDOI:10.11907/rjdk.161907
中图分类号:TP393
文献标识码:A 文章编号文章编号:16727800(2016)011017603
0 引言
从配置与管理的角度看,一个自治系统只运行单个路由协议是最理想的,然而在很多情况下可能使用多个路由协议[1]。国内很多中小企业偏向于使用经济实惠的华为设备,OSPF链路状态协议是实现内网规划的重要协议,但路由环路和扩展性问题一直被人诟病。EIGRP是一种思科专用的路由选择协议,融合了链路状态路由协议和距离矢量路由选择协议的优点,具有快速收敛、无环路、扩展性好等优点。本文以顺德某企业项目为背景,利用EIGRP协议、OSPF协议和RIP协议进行网络规划,包括需求分析、协议配置分析、扩展性问题分析,最后通过测试验证协议的应用是否可行。全文分为3部分,首先是园区网路由选择协议概述,包括园区网设计中不同路由协议的简介,如何进行RIP协议、OSPF协议和EIGRP协议的配置与检查,应用不同路由协议网络对园区网发展趋势的影响,然后是以具体项目设计为背景介绍不同路由协议在园区网中的作用,包括路由协议配置方法、路由重分发、负载均衡、邻居关系、故障排除以及路由选择协议与命令,设计过程中采用实际案例进行研究,最后是测量网络的连通性和可靠性。
1 园区网路由选择协议概述
园区网通常指校园网或企业内部网,通常由一个机构进行管理。园区网需要划分子网,子网间通信需要路由来完成。如何利用园区网提升业务量,需要从选择路由协议开始。路由协议包括静态路由协议和动态路由协议,静态路由协议需要管理员手工维护,适合网络拓扑简单的企业网,动态路由适合路由器较多、拓扑结构复杂的企业,只有动态路由能实现负载均衡。动态路由协议包括内部网络协议(IGP)和外部网关协议(EGP)[2],也可以细分为距离矢量协议与链路状态协议。常见的动态路由协议包括RIP协议、OSPF协议和EIGRP协议,BGP是外部网关协议。RIP的中文含义是路由信息协议,属于距离矢量协议,是一种简单的动态路由协议。其允许的最大度量值不超过15,因此适合小规模办公网络。随着网络规模扩大,消耗的网络带宽、内存资源和处理器也不断增多。RIP协议有RIPv1与RIPv2两个版本,优点是路由更新中不带任何子网信息,简化了管理人员工作,缺点是限制扩展性。为了解决RIP协议的缺陷,1988年Internet工程部成立OSPF工作组,开始着手OSPF协议的研究和制定[3]。OSPF与IS-IS属于链路状态协议,OSPF的中文含义是开放最短路径优先协议,是典型的链路状态、无类别的路由选择协议,完美取代了思科公司的私有EIGRP协议。它能够与多种路由协议配合,并支持大型网络,收敛时间短,通过配合生成树协议防止环路发生,扩展性也不输于EIGRP协议;而EIGRP则是结合距离矢量与链路状态于一体的高级混合协议,中文含义是增强型内部网关路由协议,在2010年才被思科公司宣布开放。与一贯开放的OSPF相似,EIGRP技术还未被所有用户重视,目前OSPF协议仍然占据重要地位。EIGRP路由选择协议与OSFP相比,具有快速汇聚、占用带宽更小、开销更低、汇总方便和支持不等价链路负载均衡等优点[4],具体如下:EIGRP使用快速更新算法(DUAL),路由器存储了所有备用路由,如果本地路由选择表中没有合适路由,EIGRP会向邻居查询获得替代路由以实现快速汇聚;EIGRP只有在路由或度量值发生变化时才进行部分更新,因此占用更少带宽;因为不使用广播,所以终端不受路由选择和拓扑信息请求影响,开销更低;EIGRP支持非等度量值负载均衡,因此可以更好地控制网络流量分布;网络管理员可以在网络任何地方汇聚路由;EIGRP属于无类路由,支持不连续的子网和变长子网掩码。创建EIGRP路由选择进程使用的命令有router eigrp和network。EIGRP需要自主系统号AS,同一个AS中所有路由必须使用相同的AS号,才能相互交换路由选择信息。Network指定路由器直接连接主干网络,思科操作系统只在EIGRP network命令相匹配的接口上启用EIGRP。
2 企业网项目设计方案
2.1 网络地址规划
园区网络环境复杂,由于部门的合并、采用多个厂商设备等,因此在不同的网络区域分别使用了RIP协议、OSPF协议和EIGRP协议,把3个应用不同协议的网络区域互联构成一个全区网络。本项目使用5个路由器实现不同路由协议的互联网络,其中R1使用EIGRP路由协议,代表自治系统边界路由器ASBR2;R2使用OSPF路由协议,R3使用RIP路由协议,代表自治系统边界路由器ASBR1;R4使用RIP路由协议,R5使用EIGRP路由协议,ASBR位于OSPF自治系统和非OSPF网络之间。在企业的网络规划中,子网划分非常重要,网络主机IP分配如表1所示。
2.2 不同路由协议互联网络配置
完成5个路由器各个接口IP地址的基础配置后,接下来对R3和R4配置RIP协议。
2.3 不同协议的邻居关系及故障排错
当两个配置不同协议的路由器在网络上直连并相互通告,它们则确立了邻居关系。在大多数网络中,以组播方式每5秒发送一次信息,其中会减掉一个很小的随机时间来防止更新同步。每个邻居的相关信息会记录在一个邻接表中,EIGRP协议在15秒内可以检测丢失的邻居。与RIP协议和IGRP协议相比,EIGRP的收敛速度非常快。在配置EIGRP协议的路由器上输入show ip eigrp neighbors,观察IP EIGRP的邻接表,其中H列记录了这台路由器上学到的邻居顺序号,例如“0”。同时使用Ip hello-interval eigrp命令更改每个接口上缺省的hello数据包的时间间隔。在配置了OSPF协议的路由器上,输入show ip ospf neighbor,观察IP ospf的邻居表,其中ospf使用的是Router-ID,与EIGRP有很大不同,类似“10.0.0.1”。与EIGRP相比,OSPF协议在发送任何LSA通告前都必须先发现其邻居路由器并建立邻接关系,邻居路由器连同每台路由器所在链路,以及维护邻居路由器的必要信息全部记录在路由表中,而EIGRP只更新变化的信息。
在建立EIGRP邻居关系时,尽管在模拟器上可以通过配置命令使该EIGRP协议路由器互相建立邻居关系并连通,但在现实配置应用中,导致故障的因素很多。例如WAN链路故障导致EIGRP邻居关系单向建立,运营商提供链路的质量问题,路由器相关接口统计信息中出现CRC错误,路由间的互联链路只具备单向连通性,或者链路中的交换机出现故障、访问列表设置有问题,甚至丢包现象都可能导致EIGRP邻居关系故障。若通过一条WAN链路连接两台路由器,如果从路由器1到路由器2的链路连通性正常,但反过来出现故障时,可以在路由器1上运行show ip eigrp neighbors命令排查邻居建立故障,如果执行该条命令后无任何输出,说明路由器2的EIGRP hello数据包无法送达路由器1。在查看命令输出时,还需要理解下列参数的含义:SRTT表示平滑往返时间,单位是毫秒,表示EIGRP数据包送达此邻居路由器和该路由器收到数据包确认时的所耗时间;RTP表示重传超时时间,单位同样是毫秒,表示从重传队列向该邻居路由器重传EIGRP数据包之前,EIGRP进程需要等待的时间;Q计时器表示EIGRP进程等待发送的EIGRP数据包数量。
3 网络测试
本项目结合企业需求,融合EIGRP协议、OSPF协议和RIP协议创建安全的园区网。项目配置完成后,使用ping命令测试各部门之间的连通性与各个服务器之间的网络连接,并且使用以下命令查看路由信息:
Show ip eigr/ospf/rip interfaces //查看启用EIGRP/OSPF/RIP的接口地址
Show ip protocols //查看协议
Show ip eigrp/ospf neighbors //查看已知邻居
Show ip eigrp/ospf topology //查看拓扑表中的子网
Show ip route //查看路由
EIGRP协议配置包括邻居发现、拓扑交换、选择路由3部分。EIGRP路由器通过发送hello信息来发现潜在的邻居EIGRP路由器,并进行基本的参数检查,以确定哪些路由器可以成为邻居。EIGRP路由器可以与使用不同协议的路由器建立邻居关系。建立邻居关系后,邻居之间会交换完整的拓扑更新,之后只在网络拓扑发生变化时才按需进行部分更新。每一台路由器都会分析自己的EIGRP拓扑表,选择到达每个网段最低度量值的路由。
Router eigrp 20 //开始配置EIGRP,asn值为20
No auto-summary //关闭自动汇聚功能
Network 172.16.1.0 //设置直连网段1的网络地址
Network 172.16.2.0 //设置直连网络2的网络地址
若要3个进程域之间不进行通信,只需修改每个EIGRP进程的asn值即可。当asn值不再匹配时,各EIGRP进程将不会进行互联,每个EIGRP进程都只在指定网络的接口上运行。缺省情况下,EIGRP协议在网络边界进行路由汇聚,在路由器上使用no auto-summary命令关闭自动路由汇聚,然后使用show ip route查看路由。EIGRP可以在最多16条等价的路由路径上实现负载均衡,也可以实现非等价负载均衡。过程中需要使用keepalive、no fai-queue和variance命令。其中keepalive命令的功能是在TCP中检查死链接;fair-queue一般用于低速网络,前面通常加no,因为所有业务拥有同样的优先级;variance用于确定哪些路由在非等价负载均衡中可以使用。
4 结语
随着网络规模逐渐扩大,传统距离矢量路由协议无法适应庞大的网络需求,也不能满足网络的发展需要。因此,动态路由协议应运而生。当网络链路发生异常变化时,路由协议能够快速收敛,从而实现网络运行的安全、可靠、有效。EIGRP路由协议克服了距离矢量和链路状态路由选择协议的缺点,是一种高级距离矢量路由选择协议,具有良好的扩展性和快速的汇聚能力,并且开销很低。但由于EIGRP路由选择协议对于网络设备的局限性,导致OSPF链路状态协议逐渐替代了EIGRP路由选择协议。由于每种路由协议各有优缺点,国内企业同时使用RIP协议、OSPF协议和EIGRP协议的情况已越来越趋于普遍。
参考文献:
[1] 梁世斌,张梁斌,姚三江,等.基于Packet Tracer的多路由协议重分发的仿真实验[J].浙江万里学院学报,2012,25(2):8589.
[2] 刘友源,冯君,刘强.基于动态路由协议的分析与研究[J].重庆文理学院学报,2014,33(5):138143.
【关键词】TCP/IP 网络安全
1 TCP/IP的弱点
TCP负责发现传输的问题,一有问题就发出信号,要求重新传输,直到所有数据安全正确地传输到目的地。而IP是给因特网的每一台电脑规定一个地址。TCP/IP协议数据流采用明文传输。TCP/IP 协议组本身存在很多安全性方面的漏洞。这些弱点正导致了攻击者的拒绝服务(DOS)、Connection Hijacking 以及其它一系列攻击行为。
TCP/IP 主要存在以下几个方面的安全问题:
(1)源地址欺骗(Source address spoofing)或IP欺骗(IP spoofing)。
(2)源路由选择欺骗(Source Routing spoofing)。
(3)路由选择信息协议攻击(RIP Attacks)。
(4)鉴别攻击(Authentication Attacks)。
(5)TCP序列号欺骗(TCP Sequence number spoofing)。
(6)TCP序列号轰炸攻击(TCP SYN Flooding Attack),简称SYN攻击。
(7)易欺骗性(Ease of spoofing)等等。
2 对TCP/IP所受的攻击类型
2.1 TCP SYN attacks 或 SYN Flooding
TCP 利用序列号以确保数据以正确顺序对应特定的用户。在三向握手(Three-Way Handshake)方式的连接打开阶段,序列号就 已经建立好。TCP SYN 攻击者利用大多数主机执行三次握手中存在的漏洞展开攻击行为。当主机 B 接收到来自 A 的 SYN 请求,那么它必须以“Listen Queue”跟踪那部分打开的连接,时间至少维持75秒钟,并且一台主机可以只跟踪有限数量的连接。一台非法主机通过向其它主机发送 SYN 请求,但不答复 SYN & ACK,从而形成一个小型的 Listen Queue,而另一台主机则发送返回。这样,另一台主机的 Listen Queue 迅速被排满,并且它将停止接收新连接,直到队列中打开的连接全部完成或超出时间。至少在75秒内将主机撤离网络的行为即属于拒绝服务(Denial-of-Service)攻击,而在其它攻击中也常发生这样的行为,如伪 IP。
IP Spoofing ――伪 IP 技术是指一种获取对计算机未经许可的访问的技术,即攻击者通过伪 IP 地址向计算机发送信息,并显示该信息来自于真实主机。IP 层假设它所接收到的任何 IP 数据包上的源地址都与实际发送数据包的系统 IP 地址(没有经过认证)相同。很多高层协议和应用程序也会作这样的假设,所以似乎每个伪造 IP 数据包源地址的人都可以获得非认证特免。伪IP技术包含多种数据类型,如 Blind 和 Non-Blind Spoofing、Man-in-the-Middle-Attack (Connection Hijacking)等。
2.2 Routing Attacks
该攻击利用路由选择信息协议(RIP:TCP/IP 网络中的基本组成)。RIP 主要用来为网络分配路由选择信息(如最短路径)并将线路传播出局域网络。与 TCP/IP 一样,RIP 没有建立认证机制,所以在无需校验的情况下就可以使用 RIP 数据包中的信息。RIP 攻击会改变数据发送目的地,而不能改变数据源位置。例如,攻击者可以伪造一个 RIP 数据包,并声称他的主机“X”具有最快网外路径。所有从网络中发送出去的数据包可以通过“X”发送,并且进行修改或检查。攻击者还可以通过 RIP 高效模仿任何主机,并导致所有将要发送到那台主机上的通信流量全部发送到了攻击者机器上。
2.3 ICMP Attacks
IP 层通常使用 Internet 控制信息协议(ICMP:Internet Control Message Protocol)向主机发送单行道信息,如“ping”信息。ICMP 中不提供认证,这使得攻击者有机会利用 ICMP 漏洞攻击通信网络,从而导致拒绝服务(Denial of Service)或数据包被截取等攻击。拒绝服务基本上利用 ICMP Time Exceeded 或 Destination Unreachable 信息,使得主机立即放弃连接。攻击者可以伪造其中一个 ICMP 信息,然后将它发送给通信主机双方或其中一方,以取消通信双方之间的连接。
2.4 ARP欺骗
在局域网中,是通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。ARP协议对网络安全具有极其重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。
3 总结
TCP/IP协议常见的攻击方法利用了协议中存在的安全缺口来实施攻击技术强、难度大,但突破率高、危害性极大。目前,致力于该问题的研究已取得了显著的成效,针对协议本身做了很多改进。相信随着网络的发展和安全技术应用的深入,TCP/IP将不断的改进和完善。
关键词:VLAN;VTP;Packet Tracer;综合路由
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)05-0052-03
1 VLAN技术概述
虚拟局域网VLAN是一种以交换式网络为基础,以软件的方式将局域网内的设备逻辑上划分为若干个虚拟工作组的技术。同一逻辑工作组成员可以分布在同一物理网段上,也可以分布在不同的网络上。通过VLAN将二层交换网络的一个广播域分隔成多个广播域,这样不仅提高网络的性能,同时也提高了网络的安全性。
通常情况下,一个网络使用了VLAN后,需要对众多交换机进行相同VLAN的配置和维护,以保证交换机能进行正确的数据转发。如果靠网管人员逐台交换机进行人工配置,工作量巨大,且也不利于日后维护。
为了解决这个困难,思科提供了VTP(VLAN Trunking Protocol)技术。所谓的VTP就是虚拟局域网中继协议。在一个VTP域中,一台交换机处于以下三种模式之一:服务器模式、客户端模式和透明模式。VTP模式通过在一台设备(设置为VTP服务器)上配置VLAN数据库,并将配置信息通过交换网络传递给VTP客户机来实现,此时所有的交换机互连端口,必须启用中继。通过VTP技术,减少了创建、管理VLAN的工作量。
2 VLAN间的通信
主机分属不同的VLAN,也就意味着属于不同的广播域,因此不同的VLAN的主机间无法直接通信。VLAN间的通信就相当于不同局域网之间的通信,因此VLAN间的通信问题实质上就是VLAN间的路由问题,需要利用OSI参考模型中更高一层网络层来进行,即要借助路由器或三层交换机来实现。
不同物理网络间路由模式有直连路由、静态路由和动态路由三种。动态路由可以由不同的路由协议来实现,如RIP、OSPF、ISIS和BGP等。
3 跨网络VLAN路由通信实例
3.1 网络环境
校园网由两个物理局域网构成:网络1、网络2。网络1为校园西区,网络2为东区。
在网络1中,根据应用,划分三个VLAN,通过三层交换机作为VLAN的VTP服务器,实现VLAN的自动创建并实现不同VLAN间的通信;网络2中,划分二个VLAN,通过单臂路由实现VLAN间的通信;网络1和网络2之间通过路由器实现跨网络VLAN间的通信。
3.2 网络配置
根据网络规划的设想,基于Packet Tracer模拟软件创建网络拓扑结构图如下:
网络1由一台3560三层交换机及二台2960二层交换机组成,每台2960交换机上创建三个VLAN:DZ、RJ、WL。网络1中VLAN采用VTP方式来建立,以3560交换机作为VTP服务器,2960交换机为VTP客户端。网络2由一台2960交换机SWITCH3和一台2621XM路由器R2组成,在2960上划分出二个VLAN:XZ、WG,通过R2单臂路由实现VLAN间的通信。网络1和网络2之间通过一台2621路由器R1相连接,二个网络之间通过综合路由实现互访:3560和路由器R1之间配置RIP协议,路由器R1和R2之间配置OSPF协议。网络1中PC的网关指向相应VLAN的IP地址,网络2中PC网关指向单臂路由虚拟端口地址。
网络中主机设备的地址规划如表1:
路由器、三层交换机端口地址分配如表2:
网络1中,每台2960交换机的端口1、2、3分别分配VLAN号 :101、102、103,网络2中,交换机2960的4、5端口分别分配VLAN号:104、105,设备之间连接端口如前图所示。
4 实现过程如下:
4.1 网络1:三层交换机实现VLAN间通信
第一步:配置VTP域
首先在3560建立VTP域xmist:
3560#conf t
3560(config)#vtp domain xmist
然后在2960交换机SWITCH1、2上分别配置VTP的客户端模式:
Switch1(config)#vtp domain xmist
Switch1(config)#vtp mode client
第二步:3560上建立VLAN数据库
3560#vlan database
3560(vlan)#vlan 101 name dz
3560(vlan)#vlan 102 name rj
3560(vlan)#vlan 103 name wl
第三步:创建交换机之间的中继链路
分别将3560和switch1、switch2之间的链路端口配置成为中继模式,让不同的Vlan ID的报文通过。在3560上配置如下:
3560#conf t
3560(config)#int range f0/1-f0/2
3560(config-if-range)#switchport mode trunk
在Switch1上进行配置:
Switch1#conf t
Switch1(config)#int f0/24
Switch1(config)# switchport mode trunk
在switch2上进行相同的配置。
完成后查看2960交换机switch1和2 可以发现:在交换机1、2上也都创建了与3560上相同的VLAN。
此时PING不同的交换机下属于同一VLAN的PC,如同属VLAN 101的PC11、PC12之间能够通信。但不同的VLAN间的PC不能互访。
第四步:开启三层交换路由
在3560交换机上进行VLAN节点配置:
3560(config)#int vlan 101 // 配置VLAN 101网关
3560(config-if)#ip address 172.17.10.1 255.255.255.0
3560(config-if)#no shut
3560(config-if)#exit
重复上述过程为VLAN 10 2、VLAN 103配置节点地址172.17.20.1/24、172.17.30.1/24。
并开启三层路由:
3560(config)#ip routing
这时三个VLAN间的PC可以实现互访,例如:PC11与PC21互相可以通信。通过三层交换机实现了不同VLAN间的通信。
4.2 网络2:单臂路由实现VLAN间通信
具体步骤如下:
第一步:创建VLAN
在2960交换机switch3上创建VLAN 104,VLAN 105,将与路由器R2链接的f0/24端口配置为Trunk模式。参照前述相关过程进行,不再赘述。
第二步:实现单臂路由
在R2路由器上进行如下配置
R2(config)#int f 0/1.1 //创建第1子接口
R2(config-subif)#encapsulation dot1Q 104 //封装vlan 104
R2(config-subif)#ip address 172.17.40.1 255.255.255.0 //配置子接口IP地址
R2(config-subif)#exit
R2(config)#int fa 0/1.2 //创建第2子接口
R2r(config-subif)#encapsulation dot1Q 105 // 封装vlan 105
R2(config-subif)#ip address 172.17.50.1 255.255.255.0 //配置子接口IP地址
完成后,测试PC41与PC51之间可以PING通。表明利用单臂路由实现了不同VLAN间的通信。
4.3 通过综合路由实现跨网络VLAN间的通信
经过前述二个步骤,用二种不同的方式实现了同一物理网络中VLAN之间的通信,但是尚未实现两个物理网络(网络1和网络2)之间的VLAN的通信。
本项目中网络1和网络2之间通过2621路由器R1来链接,借助综合路由协议配置来实现路由,即在R1路由器上运行二个路由协议进程,网络1的一端运行RIP协议,网络2的一端运行OSPF协议。要实现这个功能,要实现路由的重分布,即既要将OSPF路由域的路由重新分布后通告RIP路由域中,也要将RIP路由域的路由重新分布后通告到OSPF路由域中。过程如下:
1)在3560上配置RIPV2协议
3560(config)#int fa0/24
3560(config-if)#no switchport
3560(config-if)#ip address 172.16.0.1 255.255.0.0
3560(config-if)#no shut
3560(config-if)#exit
3560(config)#router rip //运行RIP协议
3560(config-router)#network 172.16.0.0
3560(config-router)#network 172.17.10.0
3560(config-router)#network 172.17.20.0
3560(config-router)#network 172.17.30.0
3560(config-router)#version 2
设置结束,观察此时3560上的路由情况。
3560#show ip route
C 172.16.0.0/16 is directly connected, FastEthernet0/24
C 172.17.10.0/24 is directly connected, Vlan101
C 172.17.20.0/24 is directly connected, Vlan102
C 172.17.30.0/24 is directly connected, Vlan103
2)在R2路由器上配置ospf协议
R2(config)#int f0/0
R2(config-if)#ip address 172.18.0.1 255.255.0.0
R2(config-if)#no shut
R2(config-if)#exi
R2(config)#router ospf 1 //R2上运行OSPF协议
R2(config-router)#network 172.18.0.0 0.0.255.255 area 0
R2(config-router)#network 172.17.40.0 0.0.0.255 area 0
R2(config-router)#network 172.17.50.0 0.0.0.255 area 0
R2(config-router)#end
观察此时R2上的路由情况
R2#show ip route
C 172.18.0.0/16 is directly connected, FastEthernet0/0
C 172.17.40.0 /24 is directly connected, FastEthernet0/1.1
C 172.17.50.0/24 is directly connected, FastEthernet0/1.2
3)在R1路由器上配置综合路由
配置R1两端口IP地址:
R1(config)#int f0/1
R1(config-if)#ip address 172.16.0.2 255.255.0.0
R1(config-if)#no shut
R1r(config-if)#exit
R1(config)#int f0/0
R1(config-if)#ip address 172.18.0.2 255.255.0.0
R1(config-if)#no shut
R1(config-if)#exit
R1路由器上配置RIP协议:
R1(config)#router rip
R1(config-router)#network 172.16.0.0
R1(config-router)#version 2
R1路由器上配置OSPF协议:
R1(config)#router ospf 1
R1(config-router)network 172.18.0.0 0.0.255.255 area 0
进行PC11对PC41的访问,发现目标不可达。因为此时的RIP协议和OSPF协议之间未进行重分布,观察3560交换机和R2路由表均无对方路由信息。
4)在R1上进行路由重分布
R1(config)#router rip
R1(config-router)#redistribute ospf 1
R1(config-router)#exit
R1(config)#router ospf 1
R1(config-router)#redistribute rip subnets
R1(config-router)#end
此时R2上的路由情况如下:
同样观察其他的主机的访问情况,发现皆能连通。实现了跨物理网络的VLAN间通信。
4 结束语
VLAN技术是局域网应用中的重要技术,实现VLAN间的通信是网管人员和网络工程人员必将面对的问题。本文利用Packet Tracer软件,模拟了同一物理网络中,使用三层路由和单臂路由的方法实现VLAN间的通信;采用综合路由配置方法,实现了不同物理网络的VLAN间通信。过程中分析了路由器的端口设置、IP地址分配、三层交换机的配置,对相关的配置命令和路由表的信息进行了解析,并对组建的虚拟网络进行了通信仿真测试,实现了预期的设想。
参考文献:
[1] 孙秀英, 史红彦. 路由交换技术与应用项目化教程[M]. 北京: 机械工业出版社, 2014.
[2] 郑耿凡. 浅析CiscoPacketTracer在Vlan间通信教学的应用[J]. 河北软件职业技术学院学报, 2014,16(3): 54-57.
摘 要:提出一种基于MSTP的网络优化改造方案。通过比较E1接口或以太网接口两种接口,SDH和MSTP两种链路的优劣,然后选择以太网接口MSTP技术进行优化改造,解决了网络数据传输时间长、速度慢等问题。试验结果表明,方法优化了网络传输效率,减少了卡顿频率。
关键词:MSTP 网络优化 改造方法
1 项目背景
当前飞速增长的网络应用需求对于网络的通讯质量、技术的优化完善提出了更高的要求[1]。特别是公安业务,对于数据网络的应用有较高的要求,高带宽、高效率、高稳定性、高安全性的网络才能满足当今反恐维稳的网络需求。随着公安业务需求的不断增加,为了加强风险防控、提高天网利用率、优化警力资源配置,以及推进公安改革的机构调整,由此将带来数据、语音和视频等多媒体业务的传输需要,使原有的网络线路的负载极大地增长,而原先网络互联所采用的2M SDH接入模式已不能够满足我们的应用及发展需求[2]。因此,需要采用更高带宽的通信线路来全面保障业务的发展。
2 优化改造方案
目前能够提供高带宽的网络通信主流技术是基于SDH的MSTP (Multi-Service Transport Platform)多业务传送平台技术[3]。MSTP技术可以基于E1接口或以太网接口进行优化改造,因此需要对比两类方案后再进行优选。
2.1 通道扩容及配置灵活性
(1)E1接口。基于E1接口进行优化改造,一般的,派出所网点线路带宽的扩容改造需要在SDH设备及网点路由器上分别增配相应的E1硬件接口,n*2M的带宽需要分别增配n 个E1硬件接口,当带宽需求进一步增加时,可能需要将两侧板件更换升级为E3接口(34Mbps),配置繁琐并牵涉到现场的硬件改动,因此,通道带宽扩容及配置灵活性相对较差。
(2)以太接口。网点带宽扩容时只需要在SDH设备上进行相应的软件配置,通过多个VC(Virtual Container 虚容器)的级联实现公安业务带宽的提升[4]。以 VC12级联为例SDH设备的10/100M以太网接口带宽可设置为n*2M,通常可从1-48任意配置,通道带宽扩容及配置灵活性好,便于管理。
2.2 路由器QOS调节机制的发挥
(1)E1接口。当多个E1通道中部分通道故障,网络过载或拥塞时,路由器将根据自身的QOS策略,避免拥塞,确保网络中的部分重要业务不受延迟或丢弃[5]。
(2)以太网接口。 由于路由器与SDH设备的以太网接口对接,路由器对SDH传输层内部的物理通道的带宽变化不会有感知,在采用虚级联技术配置以太网通道时可能会出现以太网捆绑的通道中部分E1链路故障造成网络过载或拥塞的情况[5],此时,路由器的QOS调节机制失效,路由器不会进行QOS策略调整,从而出现业务传输的时延、报文重传和丢包等问题,拥塞加剧甚至可能导致系统因陷入资源死锁而崩溃。
2.3 线路故障性能监测
(1)E1接口。E1接口工作于七层模型中的物理层和数据链路层[6],对于E1接口,路由器具有丰富的链路状态检测技术,当发生通道故障时,路由器可以直接感知E1通道的故障。
(2)以太接口。当SDH通道故障时,采用静态路由或者某些动态路由协议的路由器无法直接通过链路状态快速感知以太网通道的故障[6]。因此,需要通过一些链路状态检测手段进行检测,以此迅速发现链路故障。
2.4 两类接口的经济性比较
(1)E1接口。1个E1接口带宽为2M,当数据网带宽需求逐步增加时,两侧的路由器以及SDH设备均需要随之增加相应接口板件;而能够支持POS接口的主要为高端路由器,因此也相应增加了路由设备的成本投入。
(2)以太网接口。1个以太网接口可达到100M甚至 1000M容量,当数据网带宽需求增加时,不需要更多接口板的投入。
2.5 接口方式比较汇总
通过对两类接口的上述比较分析,得到了一个比较汇总表(见表1)。根据汇总表可知,虽然以太网接口在QOS调节机制的发挥、线路故障性能检测上较以太网略有不足,但是,从灵活性、经济型角度考虑,以太接口接入方式无疑是优选方案。结合我们的实际情况,网点网络接入电路方案选用以太接口接入。
3 网络带宽估算
3.1带宽计算公式
网络带宽的具体估算公式为:估算带宽=估算数据总量/估算数据上传时间/网络利用率。其中,图片资料的每页非结构化数据文件按400KB估算。
3.2业务带宽估算
由于不同类型的基层分局或派出所(大队)网点数据量存在一定的差异,从节约成本角度考虑,网点线路带宽不应采用统一的标准,需根据网点的数据量以及未来数据发展趋势来估算合适的带宽。当估算带宽小于0.5Mbps时,考虑复用现有带宽;当估算带宽大于0.5Mbps时,考虑对线路带宽扩容。
根据分局网点的部分数据资料,我们估算数据所需的网络带宽(见表2)。
根据数据量估算的带宽来分析,务发展的趋势,考虑进行带宽扩容。分局至市局的电路扩容至100Mbps,派出所至分局的电路扩容至30Mbps。
4 网络改造实施
4.1 改造实施
我们网络结构为分局、派出所网点直连市局上层机房中心。原分局、派出所上联接口是E1接口,网络改造后上联接口改为以太接口。RIP路由协议的认证方式采用高安全性的MD5J证,分局、派出所路由器的主要配置如下:int f0
ip rip authen key 0 密钥
p rip authen mode md5
ip address 网点端广域网IP 掩码
speed 100
duplex full
keepalive gateway 市局_IP 掩码
exit
int sw0
no vrrp 10 track serial0/0 50
vrrp 10 track f0 50
exit
4.2中心端配置
RIP路由协议的路由抑制时间是180秒,当链路发生故障时,原路由将一直维持到该路由因无效被抑制后才切换至备用OSPF路由。为了加速RIP路由协议的收敛时间,需要在路由器配置BFD(双向转发检测)。(1)和(2)分别为市局下联路由器的RIP认证和BFD配置:
(1)RIP认证。具体配置命令如下:
接口下配置:
rip authentication-mode md5 rfc2082 *** 1
(2)BFD单跳检测配置。因网络两侧的设备分属不同的厂商,因此只能在市局下联路由器上配置BFD单跳检测。在配置BFD单跳检测时,为了避免对端发送大量的ICMP重定向报文而造成网络拥堵,不能将BFD 的echo报文的源地址配置为属于路由器任何一个接口所在的网段地址,因此,需要新配置一个回环地址作为BFD的echo报文的源地址,具体BFD配置如下:
配置一个新的回环地址:
int loopback 10
ip add 33.33.33.33 32
全局模式下配置echo报文源地址:
bfd echo-source-ip 33.33.33.33
接口下配置BFD:
rip bfd enable
bfd min-transmit-interval 1000 配置发送echo报文的最小时间间隔
bfd min-echo-receive-interval 1000 配置接收echo报文的最小时间间隔为1000毫秒
bfd detect-multiplier 3 指定单跳BFD检测时间倍数为3
经(1)、(2)配置后,再次进行测试,市局下联路由器的RIP路由在5秒内切换到了备用OSPF路由,优化了网络传输效率。
5 下一步工作
随着后续天网、身份指纹认证等系统的上线,在网络扩容改造后,还需要根据不同类型业务的重要性等级等因素来区分不同的业务流进行QOS设计,以保证在网络拥堵时部分重要业务得到优先传输。
参考文献:
【1】IF Akyildiz,X Wang,W Wang Wireless mesh networks: a survey[J];- 《Computer Networks & Isdn Systems》 C 2005:6-20.
【2】Li W W, Yang C W, Yang C J. An active crawler for discovering geospatial Web services and their distribution pattern - A case study of OGC Web Map Service [J]. International Journal of Geographical Information Science, 2010,24(8):1127-1147.
【3】T Clausen,P Jacquet: Optimized Link State Routing protocol (OLSR- [C];Conference on Electrical Engineering - 2013 :112-120.
【4】⒔鸷欤陆余良.主题网络爬虫研究综述[J].计算机应用研究,2010,24(10):26-29.
关键词:互联网;路由器;交换机
1 计算机网络概述以及相关的简单信息
计算机网络,是指将地理位置不同的具有独立功能的多台计算机及其外部设备,通过通信线路连接起来,在网络操作系统,网络管理软件及网络通信协议的管理和协调下,实现资源共享和信息传递的计算机系统。网络通信协议为连接不同操作系统和不同硬件体系结构的互联网络提供通信支持,是一种网络通用语言。常用的三个网络协议:NetBEUI协议,IPX/SPX及其兼容协议,TCP/IP协议。
2 网络故障的分类
所谓的网络故障,通常表现为:电脑无法通过局域网接入Internet;其运行速度异常的缓慢等。而网络故障诊断应从以下两方面着手:确定网络的故障点,恢复网络的正常运行,发现网络规划和配置中欠佳之处,改善和优化网络的性能。网络故障的原因:物理层中物理设备相互连接失败或者硬件及线路本身的问题,数据链路层的网络设备的接口配置问题,网络层网络协议配置或操作错误,传输层的设备性能或通信拥塞问题。
3 解决故障的工作步骤
3.1 硬件诊断
⑴以太接口故障排除。以太接口的典型故障问题是:带宽的过分利用;碰撞冲突次数频繁;使用不兼容的帧类型。使用showinterface ethernet命令可以查看该接口的吞吐量、碰冲突、信息包丢失和帧类型的有关内容等。
⑵串口故障排除。串口出现连通性问题时,为了排除串口故障,一般是从show interface serial命令开始,分析它的屏幕输出报告内容,找出问题之所在。接口和线路协议都运行的状况下,虽然串口链路的基本通信建立起来了,但仍然可能由于信息包丢失和信息包错误时会出现许多潜在的故障问题。正常通信时接口输入或输出信息包不应该丢失,或者丢失的量非常小,而且不会增加。如果信息包丢失有规律性增加,表明通过该接口传输的通信量超过接口所能处理的通信量,解决的办法是增加线路容量。查找其他原因发生的信息包丢失,查看show interface serial命令的输出报告中的输入输出保持队列的状态。当发现保持队列中信息包数量达到了信息的最大允许值,可以增加保持队列设置的大小。
3.2 网络故障分层诊断技术
3.2.1 网络层及其故障诊断
⑴检查从源到目的间的所有路由设备的路由表,看是否丢失路由表项。
⑵当发生路由表项丢失或其它问题时,检查路由器的RIP基本配置:用display rip命令察看RIP的各种参数设置,看RIP是否启动,相关的接口是否已经使用,network命令设置的网段是否正确;用debuggingrip系列命令看RIP的调试信息。通过 debugging信息可能很清楚的看出RIP报文是否被正确的收发,如果收发有问题,也可以从debugging信息中看到是什么原因导致收发报文失败。
4 故障实例
4.1 故障现象:五楼计算机上网速度非常慢
处理办法:先用“ping”命令“ping”网关,结果显示时延非常大,有时还有丢包,于是把上端汇聚交换机上除了主线外的其它网线都拔掉,然后用网线把笔记本连接到交换机上,这时显示正常,说明交换机及以上设备、线路都正常,把所有的线都接上,把笔记本串口与汇聚交换机的CONSLE口用专用数据线连好,登陆到交换机,进入“config”模式,输入“display inteth”,发现有一个端口的数据流量非常大,于是把这根线拔掉后网络正常,经过检查,发现这根网线连接了一个HUB,而这个HUB上又有网线通过其它路径又连接到了原汇聚交换机,形成了回路,因此造成网络故障。
4.2 故障现象:公司很多机器都不能正常上网
处理办法:由于是公司部分机器不能上网,因此先判断故障范围,经调查,发现是公司的一个3552交换机下的机器全部不能上网。所以想通过远程TELNET登陆到该交换机上,但发现不能登陆,然后再用PING命令来测试到该交换机的网络联通性,结果显示网络不通。然后用笔记本连接交换机的CONSLE口进行登陆,结果显示如下:
EXEC Session Initialize failed!
由此判断交换机已DOWN机了,对交换机进行掉加电操作,交换机进行重新启动,然后交换机下的用户可以正常连接网络。
5 结语
网络发生故障是不可避免的。网络建成运行后,网络故障诊断是网络管理的重要技术工作。搞好网络的运行管理和故障诊断工作,提高故障诊断水平需要注意以下几方面的问题:认真学习有关网络技术理论;清楚网络的结构设计,包括网络拓朴、设备连接、系统参数设置及软件使用;了解网络正常运行状况、注意收集网络正常运行时的各种状态和报告输出参数;熟悉常用的诊断工具,准确地描述故障现象。
[参考文献]
[1]钟志永,姚.大学计算机应用基础[M].重庆:重庆大学出版社,2012:144-146.
关键词:网络配置;仿真;路由器;交换机;网络课程教学
中图分类号:TP391文献标识码:A
文章编号:1009-2374 (2010)25-0088-03
0引言
随着网络技术的发展,各中职学校相继开设了组网技术的相关课程,在该课程中需要进行许多的组网实验。然而,绝大部分中职学校还没有配置相应的网络实验环境,这严重影响了学生动手能力的培养。学生频繁地做组网实验很容易损坏设备,而且维护更新的成本也较为昂贵,一般中等职业学校无法承受。如何给学生提供一个不受时间、空间限制的网络实验环境?网络互连配置仿真培训系统是一个很好的解决方案,有了实验仿真培训系统,能为教师在网路互连配置培训中,提供一个有效的辅助手段。同时,通过模拟实验,也能极大地培养学生独立分析问题和解决问题的能力。
目前,国内外也有一些网络实验模拟器,如Network Visualizer、Virtual Lab、Networking Academy E-Lab、Boson Netsim等。这些模拟器能模拟实际网络的组建,能对网络设备进行模拟配置,还能模拟运行、测试以及对仿真结果的分析。
现有的网络实验模拟软件在中职网络互连配置培训中也暴露出一些缺点和不足,这些软件一般都能够模拟出真实的网络搭建环境,但不能分辨和提示哪里出错,对于中职学生,往往无法找出配置错误的所在,而影响整个网络实验的进行。为此,笔者专门设计开发了网络互连配置仿真培训系统,该系统能根据组网配置实验教学的需要设置了相应的有针对性的实验。能根据中职学生的实际组网配置操作,一步一步给予正确的操作引导和出错提示,使学生能顺利地成功完成相关组网配置实验,极大地方便了教师的组网实验培训和广大学生的自学,本文将对该网络互连配置仿真培训系统的设计和实现中采用的技术进行详细讨论。
1网络互连配置仿真培训系统的总体设计
网络互连配置仿真培训系统针对交换机、路由器中需要配置的主要功能和使用的主要网络协议,对交换机、路由器的各项具体配置进行模拟仿真。根据实验教学的需要,系统总体设计时,将全系统划分为七个主要模块,各模块的设计目标与功能分配如下所示:
模块1:配置跨交换机VLAN,模拟网络设备对该功能的操作并记录到数据库;
模块2:配置SVI实现VLAN间路由,模拟网络设备对该功能的操作并记录到数据库;
模块3:配置端口聚合,模拟网络设备对该功能的操作,提供冗余备份链路,并记录到数据库;
模块4:配置端口安全,模拟网络设备对该功能的操作并记录到数据库;
模块5:配置静态路由,模拟网络设备对该功能的操作并记录到数据库;
模块6:配置RIP路由协议,模拟网络设备对该功能的操作并记录到数据库;
模块7:配置标准IPACL,模拟网络设备对该功能的操作并记录到数据库。
2网络互连配置仿真培训系统的模块设计与实现
在系统的具体设计和实现时,将以上每种配置实验都作为一个单独的模块处理,各个模块的设计思想和实现中采用的主要技术分述如下:
2.1实验一模块(配置跨交换机的VLAN)
本实验通过配置仿真,使得同一VLAN里的计算机之间能跨交换机进行相互通信,而在不同VLAN里的计算机之间不能进行相互通信。
实现原理:VLAN是一种用于隔离广播域的技术,配置了VLAN的交换机内,相同VLAN的主机之间可以直接访问,同时对于不同的VLAN的主机进行隔离,VLAN配置时,要遵循IEEE802.1q协议标准,在利用配置了VLAN的交换机接口进行数据传输时,需要在交换机主干接口发送的数据帧内添加4个字节的802.1q标签信息,用于标识该数据帧属于那个VLAN,以便于对端交换机接收到数据帧后进行准确的过滤和对送达的目的VLAN端口判断。
实验一拓扑结构设计如图1所示。
对该模块进行VC++实现时,系统预先设置一个网络设备配置数据库,里面存储为使实验成功需要配置的所有可能的正确配置数据。系统开始时显示实验一拓扑图,然后显示各个需要进行配置的网络设备标签,等待学生输入。当学生输入本实验中的配置语句后,系统首先对该语句进行语法检查,若有语法错误,则进行提示修改重输入;系统而后对该语句进行语法分析,分离出相关的各关键字和配置参数,将其和网络设备配置数据库中的各种可能出现的正确配置数据进行匹配,若匹配成功,则进行下一条语句的处理,若匹配失败,则报警提示修改。当全部语句完成后,还要检查各语句是否符合正确的顺序关系,条件满足关系,以及是否是允许的语句交换关系,如果一切检查都符合要求,则提示该设备配置成功。然后进行另一设备的配置,过程仿此。当各个需要配置的网络设备皆配置完成后,还要检查各网络设备配置参数的相容性,若都能检查通过,则本次配置实验成功。
2.2实验二模块(配置SVI实现VLAN间路由)
为减小广播对网络的影响,网络管理员在公司内部网络中进行VLAN的划分后,会发现不同VLAN之间无法相互访问。此时需要进行SVI配置,以实现VLAN间路由。
实现原理:VLAN间的主机通信为不同网段的通信,需要通过三层交换设备对数据进行路由转发才可以实现,通过在三层交换机上为各VLAN配置SVI接口,利用三层交换机的路由功能可以实现VLAN间的路由。
实验二拓扑结构设计如图2所示:
对该模块进行VC++设计实现时,模块的设计思想与实现中采用的主要技术路线类似实验一模块中叙述的方法,在此就不一一赘述,以下同此。
2.3实验三模块(配置端口聚合、提供冗余备份)
本实验增加交换机之间的传输带宽,并实现链路冗余备份。
实现原理:端口聚合又称链路聚合,是指两台交换机之间在物理上将多个端口链接起来,将多条链路聚合成一条逻辑链路,从而增大链路带宽,解决交换网络中因带宽引起的网络瓶颈问题,多条物理链路之间能够相互冗余备份,其中任意一条链路断开,不会影响其他链路的正常转发数据,端口聚合需要遵循IEEE802.3ad协议标准。
实验三拓扑结构设计如图3所示:
2.4实验四模块(配置端口安全)
对于网络中出现的这种问题,需要防止用户接入非法或未授权的设备,并且限制用户将多个网络设备接入到交换机的端口,本实验完成交换机的端口安全配置,可以满足这个要求,提高接入层网络的安全性。
实现原理:交换机的端口安全特性可以只允许特定的MAC地址的设备接入到网络中,从而防止用户将非法或未授权的设备接入网络,并且可以限制端口接入的设备数量,防止用户过多的设备接入到网络。
实验四拓扑结构设计如图4所示:
2.5实验五模块(配置静态路由)
本实验配置路由器中的静态路由,以实现网络的互连互通,从而实现信息的共享和传递。
实现原理:路由器属于网络层设备,能够根据IP包头的信息,选择一条最佳路径,将数据包转发出去,实现不同网段的主机之间的互相访问,路由器是根据路由表进行选择和转发的,而路由表就由一条条的路由信息组成,路由表的产生方式一般有三种:直连路由;静态路由;动态路由协议学习产生的路由。本实验练习第一、第二种路由产生方式。
实验五拓扑结构设计如图5所示。
2.6实验六模块(配置RIP路由协议)
本实验配置动态路由协议RIP,即练习上一节所说的第三种路由产生方式,以实现网络的互联互通,从而实现信息的共享和传递。
实现原理:RIP是应用较早,使用较普遍的IGP,适用于小型网络,是典型的距离矢量协议。RIP协议中将跳数作为衡量路径开销,RIP协议里规定最大的跳数是15,RIP协议有两个版本RIPv1和RIPv2,RIPv1属于有类路由协议,不支持VLSM(变成子网掩码),以广播的形式更新,更新周期为30秒,RIPv2属于无类路由协议,支持VLSM(变长子网掩码),RIPv2是以组播的形式更新。
实验六拓扑结构设计如图6所示:
2.7实验七模块(配置标准IPACL)
本实验可以根据配置的规则对网络中的数据进行过滤。
实现原理:标准IPACL可以对数据包的源IP地址进行检查,当应用了ACL的接口接收或发送数据包时,将根据接口配置的ACL规则对数据进行检查,并采取相应的措施,允许通过或拒绝通过,从而达到访问控制的目的,提高网络安全性。
实验七拓扑结构设计如图7所示:
3结语
网络设备互联配置仿真培训系统除可完成上述七实验以外,还可以进行网络设备互联实验的测试。学生可以通过该模拟软件实验过渡到实物设备的实验,从而大大提高实验效率。通过这些练习,让学生在网络仿真软件提供的模拟环境下能够熟练地掌握计算机网络中最为实用的组网配置技术,同时通过网络设备互连配置仿真培训系统的熟练使用,也可以实现对网络原理和网络协议的更深层次的理解和掌握。
参考文献
[1] 张卫东,周敏.网络互连设备远程实验平台设计[M].科技信息(学术版),2008,(30).
[2] 臧大进,严宏凤.Cisco路由器的几种常规配置[J].计算机时代,2001,(5).
[3] 刘民岷,杨平,吴浩文.基于虚拟仪器的实验室建设[J].实验技术与管理,2002,(1).
【关键词】建构主义 计算机网络 专业教学 支架式教学
【中图分类号】G【文献标识码】A
【文章编号】0450-9889(2013)04C-0143-03
在当前对教学的研究中,有关教学的定义有很多种,有些学者认为:“所谓教学,乃是教师教、学生学的统一活动”。另外一些学者认为,“教学就是指教的人指导学的人进行学习的活动”。还有学者认为,“教学是以课程内容为中介的师生双方教和学的共同活动”。这些不同的定义虽来自不同的底层理论基础,但有一点是共同的,即教学是一种活动,而且是一种为人的、人为的和复杂的实践活动。教学是一种为人的活动,说明教学活动具有一定的目的性,教师要把特定的知识传授给特定的对象。教学是一种人为的活动,说明了在教学的过程和教学结果具有不确定性,教师只能尽最大努力按照设定计划进行,却无法保证实施过程和结果与设定的计划和目标完全一致。教学是一种复杂的活动,说明在教学的过程中出现不可预知事件来得突然和复杂,解决起来具有一定的难度。
按照理论指导实践的哲学观点,既然教学是一种活动,而且具有一定的为人性、人为性和复杂性,所以它在实施的过程中需要正确的理论来指导。结合高职院校计算机网络专业知识的特点,本文采用建构主义理论来指导课程实践的活动。
一、建构主义简述
建构主义是一种哲学理论,而不是某种具体的教育教学方法。建构主义是在认知主义基础上发展起来的学习观,建构主义理论认为学习是获取知识的过程,知识不完全是通过教师的传授得到,而是学习者在一定的情境即社会文化背景下,借助他人或者其他手段的帮助,利用必要的学习资料,通过意义建构的方式获得。建构主义强调学习者学习的主观性,最提倡的学习方式是合作学习,而情境、协作、会话和意义构建是最基本四要素。
情境――学生学习的环境。在建构主义理论中,情境必须要为意义构建服务,教师设定的情境必须要有助于学生最终意义的构建。
协作――学生在意义构建的过程中相互合作,共同收集学习资料,共同分析问题的要点,共同提出问题的假设,共同验证。在整个学习的过程中,协作贯穿始终。
会话――学习者相互交流,每个学习者将思维成果与同组成员共享,有助于组成员意义的构建。
意义构建――学习者的终极目标。将学习者放置于相应的情景中,通过同组的协作,通过会话的方式,最终使每个学习者构建起事物的本质规律及相互之间的内在联系。
在建构主义理论下,目前比较成熟的主要教学模式有支架式教学、抛锚式教学、随机式教学。本文将采用支架式的教学模式对高职计算机网络专业进行教学。所谓支架式教学,引入“支架”寓指“教”与“学”的关系:教师的“教”只是为学生搭建学习的“支架”,“帮助”、“协助”而不是“代替”学生学习;学生则在教师的帮助和指导下主动建构并内化知识和经验,促进自身能力的发展。支架式教学的操作程序包括“搭脚手架―进入情境―独立探索―协作学习―效果评价”等五个步骤。
二、高职计算机网络专业知识特点
高职计算机网络专业课程有其自身的特点,主要表现在如下几个方面:
第一,理论知识非常抽象。计算机网络的专业知识是学者对现实问题的抽象,具有高度的抽象性。计算机网络专业的重要的核心知识点,比如OSI网络七层结构、各类数据包格式尤其是帧头格式、各类协议模型及运行过程等都具有理解难度大、抽象性高的特点。
第二,实践性强。计算机网络专业本来就具有实践性强的特点,只有通过大量的实践,才能理解并灵活应用网络知识;只有通过大量的实践,才能积累相应的工程经验。
第三,知识点联系性强。计算机网络通信是一个非常复杂的过程,涉及的知识点非常多,各知识点之间的存在着千丝万缕的联系,这些知识点相互交叉形成了计算机网络通信模型。
尽管计算机专业知识抽象难懂,但这些理论知识毕竟来源于生活,所以,可以利用建构主义的教学方式,使学生利用已有的知识经验,在教师构建好的情境中,利用教师提供必要的学习资料,发挥自身的主观能动性,将抽象的、难懂的知识点构建起来。计算机网络的知识点综合起来就是一个整体结构,相当于一整座大厦,教师采用哪种教学方法,如何使学生能尽快的构建起这座大厦是一个非常重要的问题。建构主义理论中的支架教学强调教师为学生搭好脚手架,学生在脚手架的基础上构建整个大厦。结合计算机网络专业知识和支架教学法的特点,将支架教学法应用在计算机网络专业的教学中就显得非常合理。
三、建构主义在计算机网络专业教学的应用
采用建构主义理论支架式教学方法时,教师要充分强调动学生的主观能动性,鼓励学生采取合作学习的学习方式,将情境、协作、会话和意义构建四要素融入到教学设计中,严格按照“搭脚手架―进入情境(按照最近区域理论)―独立探索―协作学习―效果评价”的教学步骤进行。本文以路由与交换课程中的OSPF路由协议知识点为例,详细阐述建构主义支架式教学在计算机网络教学中的应用。
(一)搭脚手架。所谓的搭脚手架其实就是构建教学情境,在搭脚手架时要充分考虑如下三个方面:
1.要有助于学生意义的构建。教师在搭脚手架时,要遵守搭脚手架是为学生最终意义构建的原则。所以,教师在搭脚手架时,务必要考虑核心概念之间的关系,以便于学生后期独立探索沿脚手架攀爬。在OSPF路由协议的授课中,教师可以按照“RIP协议的不足―OSPF的概念―hello协议―OSPF的网络类型-DR BDR选取规则―DR BDR选取过程―编辑本段OSPF邻居关系―OSPF泛洪―OSPF LSA类型―OSPF末梢区域―OSPF配置”这样的脚手架来进行搭建的。
2.按照最近区域理论搭建。按照最近区域理论的观点,学生还不能独立地完成学习任务,需要在学生最近发展区阶段即学生快达到另一个较高的层次的发展水平而事实上还没有达到的时候搭建“脚手架”。因此,在搭建脚手架(构建核心概念)的时候要注意,一定要在学生已有最高水平的基础上,拔高一定的高度,这样既能够使学生有充足的学习空间,又不至于学生理解不了。在路由与交换课程OSPF路由协议知识核心概念构建中,我们可以先构架RIP的核心概念,然后在RIP的核心概念上再引入OSPF的核心概念,由于RIP是学生学习OSPF协议前刚学的协议,故符合最近区域发展理论。
3.要有助于学生创新。创新是一个民族的灵魂,也是学生毕业就业的核心竞争力,所以在教学的过程中,我们要不断地培养学生的创新能力。在搭建脚手架的环节中,我们主要是构建创新环境。创新环境是指在创新过程中,影响创新主体进行创新的各种外部因素的总和。在OSPF协议知识点学习的过程中,我们主要是为学生构建一个问题具备多种解决方法的应用环境,在此次学习的过程中,教师可以在网络地址划分、OSPF协议配置方面构建“一题多解”的应用环境。
(二)进入情境。即设置悬念情境、将学生引入问题情境中,在设置问题的时候,教师要给问题情境赋予时代性和趣味性。在路由与交换课程OSPF路由协议知识点学习过程中,教师可以以某一大型跨国企业或者某一银行为例(比如IBM、中国银行等知名的企业单位),详细阐明当前的应用环境,比如有30台路由器正在同时工作,由于采用了RIP协议导致网络内部消化过多的带宽,或者举例由于网络地址有限从而要涉及变长子网掩码(因为RIP协议不支持变长子网掩码)。这样的引入方式,反映了当前网络应用的变化,既时髦也真实,学生有身临其境的感觉,从而激发学生的积极性。
(三)独立探索:引导学生沿概念框架逐步攀升。独立探索并不是指完全让学生单独探索,而是在教师的引导下,使学生进入学习情境,然后使学生对一个问题进行思考,学生遇到一些比较困难的问题时,教师应该利用教学资源给予学生一定的帮助,当学生在教师的帮助下取得阶段性成果时,教师应该给予肯定和表扬,并设置进一步的情境,将学生引入下一个问题的思考。学生在OSPF协议的学习过程中,理解DR、BDR选取规则和DR、BDR选取过程都有一定的困难,此时教师应该要准备充分的教学资源,比如说能够易于学生理解的图和表、生活中类似的例子,以供学生参考理解。
(四)协作学习――小组讨论。在建构主义理论中,协作学习是整个学习过程中非常重要的一个环节,通过学生之间的小组讨论,学生通过共同协作和讨论,更加全面的理解所学知识。在学生学习OSPF协议开始,教师可以将学生分为若干个组,鼓励同学们协作学习,教师还可分阶段有计划、分步骤组织学生讨论。比如,在DR、BDR选取规则学习过程中,教师就可以组织一次专门的讨论,通过不同学生之间的见解,使学生完全理解DR、BDR选取规则。当概念框架里面所有的概念都学习完以后,教师务必要组织学生来一次大讨论,使整个知识的层面而非单个概念的层面来理解知识点。
(五)效果评价。在建构主义理论中,效果评价并不是指教师出一个考题或者提几个问题来考察学生是否已经学会课堂知识,而由学生单个或者学习小组展示自己的学习成果。效果评价环节,教师要开放自己的心态,不能以自己的思维来衡量学生的学习成果,而应以学生的角度来看学生的学习成果,思考学生的理解方式,并且找出学生理解问题方式是与教学引导之间关系。在教学过程中,尤其要注重表扬和肯定学生的学习成果,并将之总结起来,形成更加容易理解的文字叙述或者图表。对于一些理解还不到位的学生,要继续给以提示和帮助,以完善他们的意义构建。在OSPF协议的效果评价中,对于那些理解还不到位的学生,教师可以在他们阐述自己的学习成果时,有意识地提问题,或者让其他同学对他们的观点进行评价,以进一步帮助他们完善对OSPF协议意义的构建。
四、教学质量分析
教学质量分析是通过对Quantitative信息的收集,对教学活动的全过程和质量作出客观描述,在此基础上根据教学大纲的要求、培养目标的要求和学生学习情况,对教学质量作出判断。为了客观准确地分析建构主义理论支架式教学在高职计算机网络专业课程的教学效果,并排除偶然性,笔者通过4年的时间对计算机网络专业学生进行对比研究。2009~2010年,笔者对2008级和2009级学生采用了一般的讲授实验法,而在2011~2012年,笔者对2010级和2011级学生采用了建构主义理论的支架教学法。然后分别从2008级、2009级和2010级、2011级学生中随机抽取30名学生作为分析对象,并且采取问卷调查法(主要调查学生的积极性和学习心理)、学生学习成果汇报法(主要考察学生对知识的掌握程度)、知识灵活应用考核法(考核学生对知识的灵活应用水平)三种方法对不同授课方式的两类学生对象进行分析。将每一类考核指标最高值设定为5,最低设置为1,经过加权平均处理,分析结果如表1所示。
通过表1可以看出,采用建构主义支架式教学法以后,学生无论是学习兴趣还是能力提升等方面,都有较大的提高。通过数据分析可以得出这样的结论:采用支架式教学方法在计算机网络专业教学,效果是良好的。
综上所述,建构主义理论是基于以“学”为中心的理论,而计算机网络专业的专业知识具有知识高度抽象、实践性强和知识点联系复杂的特点,将建构主义相关理论和方法应用到计算机网络专业的教学中,能极大地调动学生的积极性,极大地提升教学效果,对于丰富高职计算机网络专业教学方法和课程改革具有重要的借鉴意义。
【参考文献】
[1]王策三.教学论[M].北京:人民教育出版社,1985:88
[2]李秉德.教学论[M].北京:人民教育出版社,1991:2
[3]顾明远.教育大辞典[K].上海:上海教育出版社,1990:178
[4]程广文,宋乃庆.论教学智慧[J].教育研究,2006(9)
[5]莫永华,仇雪梅,张际平.建构主义的澄清与反思[J].中国电化教育,2010(1)
[6]艾兴.建构主义课程研究[D].重庆:西南大学,2007
[7]刘杰.支架式教学模式与课堂教学[J].贵州师范学院学报,2010(3)
[8]杜军.支架式教学应重视“脚手架”的搭建[J].教育理论与实践,2005(7)
[9]彭阳华,周平.支架式教学在高职英语教学中的应用研究[J].外国语文,2011(12)
关键词:Linux系统;路又器;配置
Linux 作为一种新近崛起的操作系统,由于其性能稳定,源码开放及价格方面的优势而逐渐被广大用户所接受。现在Linux的主要用武之地在于服务器领域,但是,经过适当的配置之后,它还可以担当互联网的物理基石--路由器这一重要角色。
一、BGP/OSPF 概述
路由器是与两个或两个以上的网络连接的计算机,它根据路由协议生成并维护一个路由表,并按照该路由表中的信息转发包。这些路由器对公司内部的网络结构了如指掌,知道将分组送到目的地的全部细节,但对于其他公司的网络结构并不了解。像这样“在同一机构下管理的一系列路由器和网络”被称为自治系统(AS)。由不同机构掌管的自治系统,可以采用不同的路由选择算法;但同一自治系统内的所有路由器都使用同一路由协议,以便于自治系统内部各个路由器互换路由信息来维持相互的连通性。每一个自治系统都有一个16位的“自治系统(AS)编号”作为标志,就像 IP 地址一样,它是由专门机构来分配的。
自治系统内的路由器称为“内部网关”,所用的协议称为“内部网关协议”。内部网关协议大体上分为两类,一类是距离向量协议,如 RIP,EIGRP 协议;另一类是链路状态协议如 OSPF 协议。链路状态路由协议与距离向量协议的不同之处在于,采用链路状态路由协议的路由器不是交换到达目的地的距离,而是维护一张网络拓扑结构图。然后用数据库表示该图,其中的表项对应网络的一条链路。路由器根据数据库的信息计算出“最佳路由”,由此指导包的转发。当网络拓扑结构发生变化时,只需将相应纪录而非整个数据库通知其他节点。各路由器做出相应修改并重新计算路由后,就可以继续正常工作。
OSPF 具有支持多重度量制式和多重路径等诸多优点,因此成为因特网上推荐使用的内部网关协议,RIP 却由于自身的局限性而被打入冷宫。现在,在性能上唯一能够与 OSPF 相匹敌的内部网关协议便是 EIGRP--Cisco 的一个专有协议,但 OSPF 的“开放”本身就是一个响亮的招牌,因为谁也不想受制于某家供应商。
二、建立路由器
(1)安装 Zebra
既可以从 Zebra.org 网站下载 Zebra 的最新源程序,也能从 Redhat 和 Debian 中获得它,但不一定是最新版的。从源代码中进行软件安装,就会发现使用的是一些普通的安装过程。
配置脚本会搜索系统上已经安装的 IP 栈并且自动地设置成支持他们。当前,IP 栈很可能仅仅是指 IPv4,但是 IPv6 用户也不用担心,因为 Zebra 也会发现并且支持它。
程序安装之后,还可能必须在 /etc/services 中增加一些命令行。Zebra 的守护程序在他们自己的虚拟终端连接(VTY)下运行,所以的系统必须知道这些虚拟终端连接。
(2)配置 Zebra
如果已经熟悉 Cisco IOS,就能在短时间内掌握 Zebra,因为会发现两者极为相似。Zebra 的每个守护程序使用一个单独的 VTY,这些 VTY 可以通过一个远程登录会话进行动态配置。所以,如果需要设置 OSPF,简单地远程登录到该 Linux 上 2604 端口;为了修改内核的路由表或设置路由协议间的再分发,可以远程登录到端口 2601,该 Zebra 守护程序充当内核管理器,管理其他的守护程序和系统本身之间的通信。
现在介绍如何在一个服务器上创建和运行 OSPF 和 BGP。Zebra 的守护程序运用纯文本文件储存它们的配置。对于 OSPF/BGP 路由器,将用到三个文件∶zebra.conf、ospfd.conf 和 bgpd.conf。
这里的感叹号充当注解标识或分隔符。尽管存在大量不同的网络接口类型(Ethernet、ISDN 等等),但只要是 Linux 内核能够辨认的网络接口类型,Zebra 都可以使用。
(3)设置OSPF
接下来,我们还需要告诉守护程序将通过 OSPF 广播哪些网络以及相关的域(area)。OSPF 的可伸缩性允许它支持多个域。键入 router ospf 开始配置 OSPF,然后键入 network 192.168.66.0/24 area 0。这告诉路由器,我们将使用 OSPF 广播一个子网掩码为 255.255.255.0 的 192.168.66.0 网络。
在本例中,我们让 eth0 接口变成一个被动(passive)接口,以便使它不能发送路由更新。这对于实验是非常重要的,因为在那个方向上的其他的路由器可能监听到发送的路由更新,将接口变成一个被动(passive)接口,从而有效的避免扰乱网络的正常运行。为此,键入命令 passive - interface eth0。如果打算将此路由器作为工作路由器使用时,就没有这个必要了。一旦完成修改,用 end 命令从配置模式中退出,然后用 write file 命令保存。为了让 OSPF 或 BGP 在某接口上工作,那么该接口必须处于""运行""状态。为手工运行一个接口,登录到端口 2601 并且在该接口上执行 no shut 命令。
绍兴科技局部门分布情况如下:二层为信息院,地震处,高新处,成果处,办公室,机房;三层是档案室,局长市,计划处,知识产权局;四层是研究院,院长室;中心机房设在二层。主要的应用有Oracle数据库系统,内部Web系统,管理信息系统。整个网络信息数据比较多,同时也比较集中,因此出于性能及管理上考虑,决定采用全网管交换机解决信息点的隔离。出于性能、价格的原因,主干采用千兆铜缆组网的方案,由于NETGEAR(美国网件公司)在千兆铜缆方案和百兆铜缆方案的优异性能价格比,最终决定采用该公司的方案。
技术方案
NETGEAR是全球领先的网络解决方案供应者,为世界上,包括中国各行业提供了出色的网
络解决方案。针对绍兴科技局的具体情况和需求,NETGEAR公司本着先进性、开放性、可伸展性、安全性、可靠性、可管理性等原则,对绍兴科技局网络改造升级项目进行了反复的论证,最终实现了真正契合用户实际的网络设计方案,网络示意如图所示。
网络结构相当简单,采用了千兆主干、百兆到桌面的布线方式,其中服务器和主干交换机通过千兆铜缆连接,接入则通过百兆铜缆连接。整个网络的设备的设备解决方案如下。
核心层设备位于二层的中心机房,主要由一台核心交换机和一台用于连接外网的路由器组成。信息点根据科技局业务部门的划分,将整个局域网划分为多个VLAN,其中VLAN1为管理VLAN,因此核心采用了1台NETGEAR的12口千兆三层可网管千兆交换机GSM7312,利用它的三层交换功能实现VLAN间的互通,添加访问控制列表限制非授权的访问。添加规则关闭不必要的端口以避免外部的攻击及病毒的传播。高性能价格比的GSM7312提供12个10/100/1000M千兆RJ-45端口(所有端口支持自协商和MDI/MDIX线缆自适应),12个 miniGBIC(SFP)插槽可提供千兆光纤的连接(每一个1000Base-T与对应的MiniGBIC端口共享使用,需另外购买千兆光纤SFP模块)。最为灵活的端口配置为用户组建网络带来了最大的灵活性。
GSM7312路由功能:线速的IPv4路由,每交换机支持多达512条路由表项,VRRP(虚拟路由冗余协议)、ICMP、RIP v1和RIP v2路由信息协议,OSPF v2最短路径优先动态路由协议,并且还具有DHCP/BOOTP的中继能力。
GSM7312交换:端口捆绑(链路聚合),广播风暴控制,广泛的VLAN虚拟局域网支持(基于端口、基于802.1Q Tag、基于第三层协议等),IGMP侦听,快速生成树协议等。
GSM7312外面连接NETGEAR的FVX538路由器,通过FVX538连接Intenet的2M的专线,接入Internet。
每个楼层交换机采用NETGEAR的FSM726型24口10/100M可网管交换机,其NETGEAR公司可管理的第二层无阻塞FSM726交换机为需要具有可网络管理能力的交换机用户提供了最为经济有效的方式。每台FSM726交换机提供24个10/100Mbps端口和两个千兆端口,所有端口可自动识别连接速度和全双工/半双工模式,并支持Auto Uplink技术。功能强大的交换机提供两种管理界面:Web界面管理和命令行界面管理。FSM726通过其中的千兆铜缆口接入中心交换机GSM7312。
方案特色
整个网络都是采用NETGEAR的设备,其产品性价比高,质优价廉,其中GSM7312和FSM726还是屡获国内国外大奖的产品。本次方案中的几款产品为美国网件全系列网管及非网管高性能交换机产品线中重要的组成部分,完全满足高速的线性转发能力,所有端口支持自动识别MDI/MDIX直通或交叉连线,所有端口支持流量控制IEEE802.3x控制广播风暴。
总结
【 关键词 】 quagga;OpenFlow;加速
The Hardware Acceleration Tesearch About Software Router
Wu Ting-yan Wen Fan-rong
(Hunan vocational college of railway technology HunanZhuzhou 412000)
【 Abstract 】 OpenFlow as the implementation of a software defined network, allowing the controller can be programmed and controlled from an external high-speed switch packet forwarding behavior. This paper introduced a novel solution that use a software router (quagga) as the routing engine, according to the state of the routing tables to send control messages to the controller, which control OpenFlow enabled high-speed switches to realize packet forward acceleration purpose.
【 Keywords 】 quagga; openflow; accelerated
1 研究背景
本文提出了一种利用支持OpenFlow协议的硬件交换机作为快速、可编程控制的数据转发平面,通过监控软件路由器的路由表控制交换机转发逻辑的软件路由器硬件加速方案。
2 OpenFlow介绍
一些研究者认为,未来网络发展必然是底层的数据设备(交换机、路由器)只需提供对外开放的流表的公用接口,同时应用控制器控制器,来控制整个网络。OpenFlow技术的出现解决了此类问题。
OpenFlow 发起于斯坦福大学和加州大学联盟,是让研究人员可将企业级以太网交换机作为定制构件用于大学的网络实验,并希望服务器能够直接访问交换机的转发表。在后来斯坦福大学的Clean Slate 计划中OpenFlow 作为计划投资的开放式标准协议。Clean Slate 计划致力于研究在现有网络上利用OpenFlow 技术试验新型的网络协议,最终目标是重新设计网络。
当前网络的报文转发过程完全由交换机/路由器等交换设备控制,而OpenFlow 网络中报文转发过程由交换机和控制器共同完成,从而实现了数据转发和路由控制的分离。控制器可以通过事先规定好的接口操作来控制OpenFlow 交换机中的流表,如修改流表表项以改变流量在网络中的走向,从而达到控制数据转发的目的。
OpenFlow网络由OpenFlow交换机、控制器(Controller)和FlowVisor组成,结构如图1所示。
OpenFlow交换机进行数据层的转发;FlowVisor对网络进行虚拟化;Controller对网络进行集中控制,实现控制层的功能。
(1) OpenFlow交换机
OpenFlow 交换机是OpenFlow 网络的核心设备,由流表(Flow table)、安全通道(Secure Channel)和OpenFlow 协议组成。
流表:流表由多个流表项构成,是交换机进行数据转发控制的关键数据结构,交换机通过查找流表的表项决定对接收到的数据流采取适合的动作。每个流表项包括包头域(Header Field)、计数器(Counter)、行为(Actions)三个域。
包头域包括12 个域,包括输入接口、MAC 源地址、MAC 目标地址、以太网类型、Vlan id、Vlan 优先级、IP 源地址、IP目标地址、IP 协议、IP ToS 位,TCP/UDP 目标端口、源端口。每一个域包括一个确定值或者所有值(any),更准确的匹配可以通过掩码实现。
计数器用来统计流量的某些信息,如发送包数等;动作是交换机接收到报文后的处理方法,包括丢弃、转发端口等,每个表项可有多个动作。
安全通道:安全通道用于交换机与控制器之间的连接,应用OpenFlow 协议,控制器可以通过安全通道配置和管理交换机,也可通过交换机发送报文等。
OpenFlow 协议:OpenFlow 协议支持Controller-to-Switch、Asynchronous 和Symmetric 三种消息类型,每种消息类型都包括多个子类型。Controller-to-Switch 消息由控制器发起,用于管理或获取交换机的状态。Asynchronous 消息由交换机发起,将状态信息更新到控制器。Symmetric消息可由交换机或控制器发起,主要用于建立连接。
(2) 控制器(Controller)
OpenFlow 网络中控制器主要完成路由控制的功能,控制器通过OpenFlow 协议控制交换机中的流表,交换机通过流表项中的action对报文进行相应的操作。
(3)FlowVisor
FlowVisor运行于控制器与交换机之间,用于实现网络的虚拟化。FlowVisor通过抽象层将物理网络分为多个逻辑网络,每个逻辑网络有不能的地址和转发机制,且能共享相同的物理设备。其中,切片隔离是实现FlowVisor 虚拟化的基本要素,其技术正在发展之中。当前,FlowVisor按带宽、拓扑结构、流量、设备CPU和转发表进行虚拟化及隔离。
OpenFlow被认为是SDN架构的控制平面和数据层平面间的第一个标准通信接口。至今OpenFlow技术还在不断发展完善中。OpenFlow控制器负责转发策略的制定,通过OpenFlow协议与OpenFlow交换机进行通信建立、策略下发、状态监控。OpenFlow控制器与OpenFlow交换机之间的工作模式一般是多对多、一对多。OpenFlow交换机可以是支持OpenFlow技术的交换机,也可以是在传统交换机上进行扩展而形成的混合型交换机。
OpenFlow交换机的转发策略主要保存在一个或多个流表(Flow Table)和一个组表(Group Table)内。在最初的设计中仅包含一个流表,为了提高存储资源利用率、加快检索速度,流水线式的多表结构被提出。交换机的每个流表都包含一系列流表项(Flow Entry),每条流表项都包含匹配域(Match Fields)、计算器(Counters)和指令(Instructions)三部分。
3 Quagga介绍
Quagga是一个开源的软件路由引擎,它的主要功能是提供基于TCP/IP的路由服务。Quagga支持的路由协议有:OSPF v2、OSPF v3,RIP v1、RIP v2、BGP-4等,Quagga还支持特殊的路由反射物和路由服务器行为。除了传统的IP v4的路由协议,Quagga还支持IPv6的路由协议。在支持SMUX协议的SNMP守护进程的帮助下,Quagga还支持MIBS(Management Information Base)。Quagga使用一个先进的软件体系结构,可以提供高质量的,多服务器路由引擎Quagga针对每一个路由协议,都有一个交互式的用户接口,提供通用的用户命令的集合。基于这样的设计,研究人员可以很容易地向Quagga增加自己实现的协议守护进程,Quagga的程序库也是公开的,可以自由地作为编程库来使用。Quagga软件在GNU许可证下。
4 设计思路
在LinuxPC Server上安装Quagga软件路由器,通过netlink跟踪路由器表的变化,将路由表变化信息发送到OpenFlow控缺器上,由控制器控制OpenFlow交换机进行数据转发。在本方案中,控制是集中化的,但逻辑是分布式的。不需要对存在的路由协议进行修改。假如路由消息能够发送到控制器上的话,传统网络就能够被透明的集成。这将产生一个灵活的,高性能的,低成本的路由方案。
本方案由控制器,路由服务器,软件路由器,OpenFlow交换机组成。控制器通过OpenFlow API操作交换机,发现网络拓扑。路由服务器完成本方案的核心控制逻辑,主要功能是维护网络状态,相关网络变化事件处理。软件路由器为一台安装了Guagga软件路由引擎的Linux服务器。当网络连通后,路由引擎根据网络状态调整包转发信息库。路由器上的监控程序通过netlink跟踪每一次包转发信息库的更新,将该信息发送给路由服务器,请求路由服务器控制交换机的流表项目,从而控制交换机进行端口转发、Mac重写、TTL减少、IP头求和更新等路由行为。
5 实现
路由服务器是一个独立运行的程序,通过控制基于NOX平台,C++语言实现的控制器操纵交换机来完成本方案的核心逻辑。路由监控程序由C++语言实现,通过netlink Linux API收集包转发信息表的更新,交更新信息发送给路由器服务器。
6 结束语
本文将开源的软件路由与支持OpenFlow的硬件交换机结合到一起,实现了软件路由的加速效果,为软件定义网络中三层协议的实现提供了一个参考。
参考文献
[1] http://.
[2] 龚向阳.基于OpenFlow网络的Qos集中管理系统的研究与实现.北京邮电大学[M], 2012.
基金支持:
湖南省高等学校科学研究项目:“软件路由器的硬件加速研究”,项目编号:11C0882。
目前越来越多的公司需要组建自己的企业网,将公司的总部与分布在不同城市和地域的分公司或办事处连接起来,提高公司办事效率,增强市场竞争能力。可是传统路由器组网模式的缺点逐渐显现,路由器成本高、扩展能力差以及维护管理复杂的因素制约了网络的发展和推广。而利用三层交换接入解决方案,对于规模大、下联节点多的网络,有助于降低其组网成本。
路由器的价格相对于交换机来说比较昂贵,而且低端路由器不支持G.703 (ITU颁布的有关各种数字接口的物理和电气特性的标准,包括64kbps和2.048Mbps的接口)的直接接入,必须使用G/V转换器设备。在分支节点中,一般不会配置高端路由器,即使低端路由器也要比交换机贵数倍,所以三层交换接入解决方案,对于规模越大、下联节点越多的网络,节省的资金就越可观。
三层交换机组网优势
端口密度大和扩展能力强。
由于路由器存在接口数量少(例如Cisco 7513路由器能提供最大E1端口密度仅为168个)、单端口价格高的特点,如果使用交换机就不存在端口数量的限制,例如Cisco Catalyst 6509交换机的10/100M端口的密度可以达到336个,对于更多数量的接入还可通过级联支持更多的端口。
数据处理能力强。
路由器的包转发率一般为几百kpps,总线带宽2Gbps; 而交换机的包转发率可达150Mpps以上,背板带宽更可高达32Gbps。由此可以看出,三层交换机的数据处理能力远远高于路由器。
支持丰富协议。
三层交换机与路由器一样,支持IP、IPX、DECnet等众多的网络协议,路由协议如RIP(Routing Information Protocol,路由信息协议)、OSPF(Open Shortest-Path First,开放式最短路径优先协议)、访问例表等,交换机都能够实现,而交换机特有的一些功能路由器则无法实现。
支持冗余通道。
当冗余通道是相同的数字通道时,交换机有个特有的功能就是将两条以上的相同物理链路集合成一条逻辑链路,带宽累加,只要其中一条链路是好的,就可保持连通性。该功能在3Com的设备上定义为Trunk,在Cisco设备上定义为Channel,其原理类似,都是在物理链路层实现的。当冗余通道是数字通道和模拟通道并存时,必须用路由器,为避免动态路由占用广域网带宽,在分支节点可根据使用产品不同而选用HSRP(Hot Standby Routing Protocol,热备份路由器协议)或VRRP(Virtual Router Routing Protocol,虚拟路由器冗余协议),中心端可在局域网中用RIP或OSPF动态路由协议实现路由器与交换机之间的路由信息交换。
性能价格比高。
路由器与交换机的性能和价格本是不可比较的,但从成本来看,路由器的单端口设备费用远高于交换机。例如交换机的每个端口都是10M~100M自适应,甚至可配置1000M的光端口,而路由器的一个2M的E1端口高达1万元人民币,如果采用155兆端口模块则价格高达十几万元人民币,一台具有一定E1端口接入数量的路由器需几十万元人民币,而一台支持三层的中低端交换机需几万元人民币,高端核心交换机也仅需几十万元。在经济实力有限的企业,适当采用三层交换解决方案,不失为节约成本的一个好方法。
案例分析
以某公司信息网为例,它是典型的星型结构,以总公司为中心连接各市分公司。在这种通过数字通道下联许多节点的星型广域网络拓扑结构中,若用传统的网络连接模式,会存在两个制约技术方案的重要因素,即路由器设备有限的处理能力和高昂的成本。
总公司和各市分公司各配置1台CISCO C3560E三层交换机,全网采用OSPF路由协议。总公司到分公司电路带宽为4M数字电路,先由电信公司将2 个E1电路捆绑成4M电路,再通过光电转换器转成以太网接口接入C3560E交换机的以太端口。
假设总公司网段为192.18.1.0,各分公司网段为192.18.2.0~192.18.25.0,广域网段位192.118.XX.XX,启用OSPF路由协议,网络拓扑见附图。
具体配置如下:
在总公司C3560交换机上划分vlan1、vlan2、vlan3等虚拟局域网,其中vlan1连接内部网、vlan2连接广州分公司、 vlan3连接珠海公司,使用超级终端通过CONSOLE口进入交换机超级用户模式
创建vlan 1
[C3560]vlan 1
[C3560-vlan1]port ethernet0/1
!
[C3560]interface vlan 1
[C3560-vlan-interface1]ip addess 192.18.1.1 255.255.255.250
!
[C3560]vlan 2
[C3560-vlan2]port ethernet0/2
!
[C3560]interface vlan 2
[C3560-vlan-interface2]ip addess 192.118.2.1 255.255.255.252
!
[C3560]interface vlan 3
[C3560-vlan-interface3]ip addess 192.118.3.1 255.255.255.252
!
…
启用OSPF协议:
[C3560]ip routing
[C3560] router ospf 1
[C3560-ospf]network 192.18.1.0 0.0.0.255area 18
[C3560-ospf] network 192.118.2.0 0.0.0.255 area 18
[C3560-ospf] network 192.118.3.0 0.0.0.255 area 18
…
分公司的配置:
在C3560交换机上配置f0/1用于连接总公司的广域网:
C3560(config) #int f0/1
C3560(config-if) #ip address 192.118.32.2 255.255.255.252
由于采用以太网模式,必须启用广播模式:
C3560(config-if) #ip directed-broadcast
C3560(config-if) #no ip mroute-cache
C3560(config-if) #speed auto
C3560(config-if) #full-duplex
配置广州公司接口f0/2用于连接内网:
C3560(config) #int f0/2
C3560(config-if) #ip address 192.18.2.254 255.255.255.0
启用OSPF协议:
[C3560]#ip routing
[C3560]#router ospf 1
[C3560-ospf] # router-id 198.118.2.2
[C3560-ospf] #redistribute static
[C3560-ospf] #network 192.18.2.0 0.0.0.255 area 18
[C3560-ospf]#network 192.118.2.0 0.0.0.255 area 18
[C3560-ospf]#network 0.0.0.0 255.255.255.255 area 18